Drie maanden lang was het mogelijk om via inlogdienst Okta toegang te krijgen tot accounts met enkel een gebruikersnaam.
De kwetsbaarheid, die sinds juli actief was, werd eind oktober geïdentificeerd. Het probleem bevond zich in AD/LDAP Delegated Authentication (LDAP), een protocol voor toegang tot opgeslagen gebruikersnamen, wachtwoorden, e-mailadressen en andere gegevens binnen directories. Okta maakt gebruik van LDAP om gebruikers in te laten loggen door inloggegevens uit de Active Directory of het Windows networked single sign-on-systeem van een organisatie te raadplegen.
Minimaal 52 karakters
Door de kwetsbaarheid was het gedurende drie maanden mogelijk om in accounts met een gebruikersnaam van minimaal 52 karakters te komen. Hoewel dit een ongebruikelijk lang aantal is, komt het in de praktijk toch voor. In bepaalde situaties, zoals bij agent downtime en veel netwerkverkeer, kon men daardoor toegang verkrijgen zonder wachtwoord.
Het probleem deed zich voor in het cache key-generatieproces, waarbij een algoritme een combinatie van userID, gebruikersnaam en wachtwoord hasht. Door de retentie van cache keys uit eerdere succesvolle inlogsessies kon met een langere gebruikersnaam toegang worden verkregen, mits het authenticatieverzoek werd gekoppeld aan een gecachte key uit eerdere sessies.
De kwetsbaarheid is inmiddels opgelost door een ander algoritme te gebruiken voor het hashproces. Okta adviseert organisaties echter altijd om aanvullende beveiligingsmaatregelen te implementeren, zoals multi-factor authentication, om securityproblemen nu en in de toekomst beter te voorkomen.
Tip: Het securityplatform lonkt: wat is het en wat levert het op?